Skip to main content

1.4 Spoľahlivosť a bezpečnosť siete

Spoľahlivosť siete možno posudzovať z viacerých hľadísk:

  • odolnosť voči chybám - pri poruche niektorého prvku by malo byť minimalizované množstvo zasiahnutých koncových zariadení, v ideálnom prípade by nemali byť zasiahnuté žiadne;
  • škálovateľnosť - sieť by mala umožňovať svoje rozširovanie (z hľadiska počtu koncových zariadení, ale i aplikácií využívajúcich sieť), a to bez zníženia výkonu pre doterajších používateľov;
  • kvalita služieb (QoS) - sieť by mala umožňovať bezproblémovú prevádzku tých služieb, ktoré majú vysoké nároky na rýchlosť spracovania prenosu (typicky prenos hlasu a videa a reálnom čase);
  • bezpečnosť - riešiť treba bezpečnosť sieťových zariadení (pred neautorizovaným prístupom), ale aj bezpečnosť prenášaných informácií z hľadiska zachovania dôvernosti, neporušenosti, a to pri zachovaní včasnej dostupnosti.

Odolnosť voči chybám

Pri opisovaní fungovania internetu a činnosti smerovača sme sa už dozvedeli, že v súčasných počítačových sieťach existujú mechanizmy, ktoré umožňujú pokračovať v prenose údajov aj pri výpadku niektorého spojenia alebo zariadenia. Toto je možné vďaka tomu, že prenášané údaje sú rozdelené do malých častí (paketov) a každý paket môže ísť svojou vlastnou cestou. Zároveň sa využíva redundancia sieťových zariadení a médií - to v praxi znamená, že:

  • Dôležité zariadenia sú zdvojené - ak má jedno z nich poruchu, jeho úlohu prevezme druhé. Nemá praktický zmysel mať viac ako dve zariadenia s rovnakou úlohou a tom istom mieste, pretože pravdepodobnosť poruchy oboch naraz je prakticky nulová a pokiaľ sa tak stane, je to spôsobené vonkajším vplyvom, pri ktorom by nám nepomohol vyšší počet záložných zariadení.
  • Sieťové trasy sú viaceré - v LAN sa opäť jedná o zdvojené spojenia (v priamej súvislosti so zdvojenými zariadeniami), v prípade WAN sietí je možné nájsť aj viaceré trasy a „obchádzky“.

Koncový používateľ si ani nevšimne, že niektorý dôležitý sieťový prvok vypadol, pretože smerovače bez zdržania nájdu paketom novú trasu. Všimol by si len výpadok „prístupového“ prepínača, do ktorého je pripojený jeho počítač - výpadok by vtedy postihol napríklad jednu kanceláriu a nie celú organizáciu.

V skutočnosti sa pri prenose údajov nejedná len o pakety a smerovače, ale aj o rámce a prepínače, no v rámci zjednodušenia zatiaľ nebudeme rozlišovať dátové jednotky jednotlivých sieťových vrstiev.

Škálovateľnosť

Pojem škálovateľnosť sa netýka len počítačových sietí. Zdanlivo sa môže zdať, že nové zariadenia môžeme pripájať do nekonečna, no v zle navrhnutej sieti sa pomerne rýchlo nájde „úzke hrdlo“, ktoré bude spomaľovať celú sieť - môže sa jednať o preťažené spojenie, ale aj o preťažené sieťové zariadenie, ktorého CPU nezvláda taký nápor. V správne navrhnutej sieti je záťaž vyvážená a pokiaľ niektorým médiom preteká vyšší dátový tok, jeho kapacita je dostatočne navýšená. V súčasnosti to znamená napríklad to, že pri koncových zariadeniach pripojených k prepínaču rýchlosťou 1 Gb/s, sú prepínače medzi sebou spojené rýchlosťou o rád vyššou - teda 10 Gb/s. Ak teda pridáme do kancelárie ďalšie počítače, spojenie z kancelárie sa nezahltí.

Kvalita služieb

V prípade počítačových sietí platí, že každú linku je možné zahltiť - obzvlášť tú, ktorá smeruje do internetu. V LAN sieťach sú obvykle koncové zariadenia pripojené do siete rýchlosťou prevyšujúcou rýchlosť pripojenia do internetu a pokiaľ to neplatí pre jednotlivé koncové zariadenie, určite to platí pre ich súčet. Inak povedané: pokiaľ by každý koncový používateľ začal niečo prenášať z / do internetu plnou rýchlosťou, internetové pripojenie by sa určite zahltilo. Otázka je, ako a či vôbec je tento stav regulovaný. Pokiaľ nie je regulovaný nijako, platí princíp „kto si koľko uchmatne, toľko má“ - teda napríklad masový sťahovač cez torrent sieť so stovkami spojení bude mať v súčte mnohonásobne vyššiu rýchlosť ako používateľ prevádzkujúci videohovor - a to dokonca do tej miery, že videohovor sa stane nepoužiteľným, čo je už problém.

Tento problém je možné riešiť uplatnením rôznych regulácií v zmysle QoS (Quality of Service) - systém napríklad zaistí, že každé koncové zariadenie dostane proporcionálny podiel aktuálne dostupnej kapacity. Teda pokiaľ má organizácia rýchlosť pripojenia 1 Gb/s a aktuálne ho používa 1 používateľ, dostane plnú rýchlosť, no pokiaľ začne 10 používateľov vykonávať prenos údajov, každému sa rýchlosť obmedzí na 100 Mb/s - bez ohľadu na to, kto koľkými spojeniami prenos vykonáva. Iný spôsob regulácie QoS si všíma typ spojenia a niektoré prenášané údaje uprednostní (pakety zaraďuje na prenos podľa definovanej priority) - napríklad telefonovanie a videohovory, ale aj dôležité sieťové služby, ako napríklad DNS. Pokiaľ však k takejto regulácii pristupuje ISP, môže to vyústiť do uprednostňovania prenosov internetových služieb tých prevádzkovateľov, ktorí mu za to zaplatia, čo narúša princíp sieťovej neutrality - tá hovorí, že ISP by mal ku všetkým paketom pristupovať rovnocenne.

Bezpečnosť

Otázku bezpečnosti IT sme riešili aj v predmete Informatika / Základy IT v 1. ročníku, bezpečnosti v oblasti počítačových sietí sa budeme venovať priebežne v tomto predmete, predovšetkým v jeho 2. časti.

Z hľadiska bezpečnosti počítačovej siete je predovšetkým nutné mať zabezpečené prístupy k sieťovým zariadeniam - na jednoduchej úrovni to znamená, že pre konfiguráciu je nutné zadať správne heslo, ktoré je unikátne (nie predvolené výrobcom). Nie vždy to však postačuje, preto sa na vyššej úrovni zabezpečenia úplne oddeľuje správa zariadení od siete koncových používateľov, teda koncoví používatelia sa ani nemajú ako dostať ku konfigurácii. Tiež je veľmi vhodné, aby neautorizované osoby nemali ani fyzický prístup k sieťovým zariadeniam a serverom - tie majú byť uzamknuté v samostatných miestnostiach a / alebo v uzamknutých skrinkách. Útoky totiž neprebiehajú len z vonkajšej siete (z internetu), ale dosť často sú vykonávané aj z vnútra organizácie.

Sieťový správca však môže chrániť aj prenášané údaje - a to predovšetkým pri prístupe vzdialených používateľov (napríklad home-office zamestnancov). Je potrebné zaistiť dôvernosť údajov (rieši sa šifrovaním), ale aj neporušenosť (rieši sa elektronickým podpisovaním). Tomuto sa budeme venovať neskôr v súvislosti s VPN.

Medzi bezpečnostné riziká v oblasti IT a počítačových sietí patria napríklad:

  • malvér (malware): súhrnné označenie akéhokoľvek škodlivého softvéru;
  • vírus, červ, trojan: konkrétne typy malvéru - pre vírus je typické jeho samočinné šírenie, bez pričinenia používateľa; ak sa tak deje využívaním chyby systému cez počítačovú sieť, používa sa pojem červ; pokiaľ sa malvér nešíri sám, ale nahrá si ho / šíri ho používateľ oklamaný správaním zdanlivo užitočného programu, označuje sa ako trojan;
  • DoS (Denial of Service) útok: cieľom útoku je vyradiť z prevádzky poskytovanú službu alebo výrazne obmedziť jej dostupnosť;
  • DDoS útok: distribuovaný DoS, teda útok DoS je vykonávaný z veľmi veľkého množstva útočiacich zariadení po celom svete, obvykle sa jedná o sieť napadnutých počítačov (botnet);
  • zero-day útok: útok, ktorý využíva zraniteľnosť (chybu v systéme) už v tom dni, keď bola odhalená - útočník ju teda odhalil skôr a ešte neexistuje na ňu bezpečnostná záplata.

Medzi bezpečnostné riešenia, ktoré poskytujú obranu, možno zaradiť napríklad:

  • firewall: všeobecné označenie pre zariadenie alebo softvér, chrániaci pred nepovolenými prístupmi a / alebo útokmi - zriadenie chráni celú sieť, softvér len počítač, na ktorý je nainštalovaný, no má viac možností;
  • ACL (Access Control List): zoznam pravidiel pre filtrovanie prístupu, používa sa napríklad na firewalli;
  • IPS (Intrusion Prevention System): pokročilý systém detekcie útokov, využívaný sofistikovanejším firewallom;
  • VPN (Virtual Private Network): umožňuje vzdialený prístup klienta do siete, v dnešnej dobe vždy zabezpečený šifrovaním.
Back to top